Perché gli analizzatori di codici statici citano CWE piuttosto che CVE nei loro risultati?

In breve: i CVE sono per "noti noti" o vulnerabilità specifiche. I CWE sono per "unknown known" o vulnerabilità types . Gli scanner dinamici sono alla ricerca di istanze di vulnerabilità già identificate. Anche gli scanner statici fanno lo stesso, ma uno dei loro principali vantaggi è che stanno anche cercando nuove vulnerabilità non ancora identificate .

Un esempio ovvio è che se stai testando un codice che il mondo non ha mai incontrato prima, come potrebbe esserci già un CVE registrato a riguardo? Puoi, tuttavia, parlare del tipo del problema, e questo è ciò che fa un CWE.

Come parte della costruzione del CVE, MITER ha sviluppato nel 2005 una classificazione preliminare e la categorizzazione di vulnerabilità, attacchi, guasti e altri concetti per generalizzare il CVE in debolezze software comuni. Tuttavia, pur essendo sufficienti per CVE, tali raggruppamenti erano troppo difficili da utilizzare per identificare e classificare la funzionalità offerta dai creatori di strumenti per la valutazione della sicurezza del codice. La lista CWE è stata creata per rispondere meglio a tali esigenze aggiuntive. CVE è simile a un inventario di incidenti stradali mentre il CWE è analogo alle condizioni (ad esempio architettura autostradale, progettazione di ponti e strade, segnaletica del traffico, pratiche di guida, procedure di applicazione) che portano a incidenti. Dato l'elevato numero di CVE e il processo per segnalarli, i riferimenti CVE alle cause architettoniche e di progettazione sono intermittenti e in gran parte non verificati. Quando si generano risultati dalle scansioni del codice, gli strumenti di analisi del codice statico possono attingere al CWE per le descrizioni delle debolezze e le raccomandazioni di attenuazione; identificare il CVE pertinente sarebbe difficile data la loro specificità e la loro disconnessione dal codice che li ha generati.